服务器安全设置.docx
《服务器安全设置.docx》由会员分享,可在线阅读,更多相关《服务器安全设置.docx(17页珍藏版)》请在冰豆网上搜索。
服务器安全设置
一、用户安全设置
1、禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。
为了保险起见,最好给Guest加一个复杂的密码。
你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户
去掉所有的DuplicateUser用户、测试用户、共享用户等等。
用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。
这些用户很多时候都是黑客们入侵系统的突破口。
3、创建两个管理员账号
创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有Administrators权限的用户只在需要的时候使用。
4、把系统Administrator账号改名
大家都知道,Windows2000的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。
尽量把它伪装成普通用户,比如改成Guesycludx。
5、创建一个陷阱用户
什么是陷阱用户?
即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
这样可以让那些Hacker们忙上一段时间,借此发现它们的入侵企图。
6、把共享文件的权限从Everyone组改成授权用户
任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
7、开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。
8、不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。
这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。
修改注册表可以不让对话框里显示上次登录的用户名。
方法为:
打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_SZ的键值改成1。
密码安全设置
1、使用安全密码
一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。
因此,要注意密码的复杂性,还要记住经常改密码。
2、设置屏幕保护密码
这是一个很简单也很有必要的操作。
设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。
3、开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位,设置强制密码历史为5次,时间为42天。
4、考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。
如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
二、一般网站最容易发生的故障的解决方法
1.出现提示网页无法显示,500错误的时候,又没有详细的提示信息
可以进行下面的操作显示详细的提示信息:
IE-工具-internet选项-高级-友好的http错误信息提示,将这选项前面不打勾,则可以看到详细的提示信息了
以下是解决500错误的方法。
请复制以下信息并保存为:
解决IIS6.0的(asp不能访问)请求的资源在使用中的办法.bat
然后在服务器上执行一下,你的ASP就又可以正常运行了。
2.系统在安装的时候提示数据库连接错误
一是检查const文件的设置关于数据库的路径设置是否正确
二是检查服务器上面的数据库的路径和用户名、密码等是否正确
3.IIS不支持ASP解决办法:
IIS的默认解析语言是否正确设定?
将默认改为VBSCRIPT,进入IIS,右键单击默认Web站点,选择属性,在目录安全性选项卡的匿名访问和身份验证控制中,单击编辑,在身份验证方法属性页中,去掉匿名访问的选择试试.
4.FSO没有权限
FSO的权限问题,可以在后台测试是否能删除文件,解决FSO组件是否开启的方法如下:
首先在系统盘中查找scrrun.dll,如果存在这个文件,请跳到第三步,如果没有,请执行第二步。
在安装文件目录i386中找到scrrun.dl_,用winrar解压缩,得scrrun.dll,然后复制到(你的系统盘)C:
\windows\system32\目录中。
运行regsvr32scrrun.dll即可。
如果想关闭FSO组件,请运行regsvr32/uscrrun.dll即可
关于服务器FSO权限设置的方法,给大家一个地址可以看看详细的操作:
5.MicrosoftJETDatabaseEngine错误'80040e09'不能更新。
数据库或对象为只读
原因分析:
未打开数据库目录的读写权限
解决方法:
(1)检查是否在IIS中对整个网站打开了“写入”权限,而不仅仅是数据库文件。
(2)检查是否在WIN2000的资源管理器中,将网站所在目录对EveryOne用户打开所有权限。
具体方法是:
打开“我的电脑”----找到网站所在文件夹----在其上点右键----选“属性”-----切换到“安全性”选项卡,在这里给EveryOne用户所有权限。
注意:
如果你的系统是XP,请先点“工具”----“文件夹选项”----“查看”-----去掉“使用简单文件共享”前的勾,确定后,文件夹“属性”对话框中才会有“安全性”这一个选项卡。
6.验证码不能显示
原因分析:
造成该问题的原因是ServicePack2为了提高系统的稳定性,默认状态下是屏蔽了对XBM,也即是x-bitmap格式的图片的显示,而这些验证码恰恰是XBM格式的,所以显示不出来了。
解决办法:
解决的方法其实也很简单,只需在系统注册表中添加键值"BlockXBM"=dword:
00000000就可以了,具体操作如下:
1》打开系统注册表;
2》依次点开HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\InternetExplorer\\Security;
3》在屏幕右边空白处点击鼠标右键,选择新建一个名为“BlockXBM”为的DWORD键,其值为默认的0。
4》退出注册表编辑器。
如果操作系统是2003系统则看是否开启了父路径
7.windows2003配置IIS支持.shtml
要使用Shtml的文件,则系统必须支持SSI,SSI必须是管理员通过Web服务扩展启用的
windows2003安装好IIS之后默认是支持.shtml的,只要在“WEB服务扩展”允许“在服务器前端的包含文件”即可
8.如何去掉“处理URL时服务器出错。
请与系统管理员联系。
”
如果是本地服务器的话,请右键点IIS默认网站,选属性,在主目录里点配置,选调试。
选中向客户端发送详细的ASP错误消息。
然后再调试程序,此时就可以显示出正确的错误代码。
安全策略自动更新命令:
GPUpdate/force(应用组策略自动生效不需重新启动)
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:
只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:
加入Guests、User组
通过终端服务允许登陆:
只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:
不显示上次的用户名 启用
网络访问:
不允许SAM帐户和共享的匿名枚举 启用
网络访问:
不允许为网络身份验证储存凭证 启用
网络访问:
可匿名访问的共享 全部删除
网络访问:
可匿名访问的命 全部删除
网络访问:
可远程访问的注册表路径 全部删除
网络访问:
可远程访问的注册表路径和子路径 全部删除
帐户:
重命名来宾帐户 重命名一个帐户
帐户:
重命名系统管理员帐户 重命名一个帐户
UI中的设置名称
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
帐户:
使用空白密码的本地帐户只允许进行控制台登录
已启用
已启用
已启用
已启用
帐户:
重命名系统管理员帐户
推荐
推荐
推荐
推荐
帐户:
重命名来宾帐户
推荐
推荐
推荐
推荐
设备:
允许不登录移除
已禁用
已启用
已禁用
已禁用
设备:
允许格式化和弹出可移动媒体
Administrators,InteractiveUsers
Administrators,InteractiveUsers
Administrators
Administrators
设备:
防止用户安装打印机驱动程序
已启用
已禁用
已启用
已禁用
设备:
只有本地登录的用户才能访问CD-ROM
已禁用
已禁用
已启用
已启用
设备:
只有本地登录的用户才能访问软盘
已启用
已启用
已启用
已启用
设备:
未签名驱动程序的安装操作
允许安装但发出警告
允许安装但发出警告
禁止安装
禁止安装
域成员:
需要强(Windows2000或以上版本)会话密钥
已启用
已启用
已启用
已启用
交互式登录:
不显示上次的用户名
已启用
已启用
已启用
已启用
交互式登录:
不需要按CTRL+ALT+DEL
已禁用
已禁用
已禁用
已禁用
交互式登录:
用户试图登录时消息文字
此系统限制为仅授权用户。
尝试进行XX访问的个人将受到起诉。
此系统限制为仅授权用户。
尝试进行XX访问的个人将受到起诉。
此系统限制为仅授权用户。
尝试进行XX访问的个人将受到起诉。
此系统限制为仅授权用户。
尝试进行XX访问的个人将受到起诉。
交互式登录:
用户试图登录时消息标题
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
交互式登录:
可被缓存的前次登录个数(在域控制器不可用的情况下)
2
2
0
1
交互式登录:
在密码到期前提示用户更改密码
14天
14天
14天
14天
交互式登录:
要求域控制器身份验证以解锁工作站
已禁用
已禁用
已启用
已禁用
交互式登录:
智能卡移除操作
锁定工作站
锁定工作站
锁定工作站
锁定工作站
Microsoft网络客户:
数字签名的通信(若服务器同意)
已启用
已启用
已启用
已启用
Microsoft网络客户:
发送未加密的密码到第三方SMB服务器。
已禁用
已禁用
已禁用
已禁用
Microsoft网络服务器:
在挂起会话之前所需的空闲时间
15分钟
15分钟
15分钟
15分钟
Microsoft网络服务器:
数字签名的通信(总是)
已启用
已启用
已启用
已启用
Microsoft网络服务器:
数字签名的通信(若客户同意)
已启用
已启用
已启用
已启用
Microsoft网络服务器:
当登录时间用完时自动注销用户
已启用
已禁用
已启用
已禁用
网络访问:
允许匿名SID/名称转换
已禁用
已禁用
已禁用
已禁用
网络访问:
不允许SAM帐户和共享的匿名枚举
已启用
已启用
已启用
已启用
网络访问:
不允许SAM帐户和共享的匿名枚举
已启用
已启用
已启用
已启用
网络访问:
不允许为网络身份验证储存凭据或.NETPassports
已启用
已启用
已启用
已启用
网络访问:
限制匿名访问命名管道和共享
已启用
已启用
已启用
已启用
网络访问:
本地帐户的共享和安全模式
经典-本地用户以自己的身份验证
经典-本地用户以自己的身份验证
经典-本地用户以自己的身份验证
经典-本地用户以自己的身份验证
网络安全:
不要在下次更改密码时存储LANManager的哈希值
已启用
已启用
已启用
已启用
网络安全:
在超过登录时间后强制注销
已启用
已禁用
已启用
已禁用
网络安全:
LANManager身份验证级别
仅发送NTLMv2响应
仅发送NTLMv2响应
仅发送NTLMv2响应\拒绝LM&NTLM
仅发送NTLMv2响应\拒绝LM&NTLM
网络安全:
基于NTLMSSP(包括安全RPC)客户的最小会话安全
没有最小
没有最小
要求NTLMv2会话安全要求128-位加密
要求NTLMv2会话安全要求128-位加密
网络安全:
基于NTLMSSP(包括安全RPC)服务器的最小会话安全
没有最小
没有最小
要求NTLMv2会话安全要求128-位加密
要求NTLMv2会话安全要求128-位加密
故障恢复控制台:
允许自动系统管理级登录
已禁用
已禁用
已禁用
已禁用
故障恢复控制台:
允许对所有驱动器和文件夹进行软盘复制和访问
已启用
已启用
已禁用
已禁用
关机:
允许在未登录前关机
已禁用
已禁用
已禁用
已禁用
关机:
清理虚拟内存页面文件
已禁用
已禁用
已启用
已启用
系统加密:
使用FIPS兼容的算法来加密,哈希和签名
已禁用
已禁用
已禁用
已禁用
系统对象:
由管理员(Administrators)组成员所创建的对象默认所有者
对象创建者
对象创建者
对象创建者
对象创建者
系统设置:
为软件限制策略对Windows可执行文件使用证书规则
已禁用
已禁用
已禁用
已禁用
服务器安全设置之_IP安全策略(仅仅列出需要屏蔽或阻止的端口或协议)
日期:
2006-7-6 点击:
191 作者:
本站收集 来源:
互联网 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】
协议
IP协议端口
源地址
目标地址
描述
方式
ICMP
--
--
--
ICMP
阻止
UDP
135
任何IP地址
我的IP地址
135-UDP
阻止
UDP
136
任何IP地址
我的IP地址
136-UDP
阻止
UDP
137
任何IP地址
我的IP地址
137-UDP
阻止
UDP
138
任何IP地址
我的IP地址
138-UDP
阻止
UDP
139
任何IP地址
我的IP地址
139-UDP
阻止
TCP
445
任何IP地址-从任意端口
我的IP地址-445
445-TCP
阻止
UDP
445
任何IP地址-从任意端口
我的IP地址-445
445-UDP
阻止
UDP
69
任何IP地址-从任意端口
我的IP地址-69
69-入
阻止
UDP
69
我的IP地址-69
任何IP地址-任意端口
69-出
阻止
TCP
4444
任何IP地址-从任意端口
我的IP地址-4444
4444-TCP
阻止
TCP
1026
我的IP地址-1026
任何IP地址-任意端口
灰鸽子-1026
阻止
TCP
1027
我的IP地址-1027
任何IP地址-任意端口
灰鸽子-1027
阻止
TCP
1028
我的IP地址-1028
任何IP地址-任意端口
灰鸽子-1028
阻止
UDP
1026
我的IP地址-1026
任何IP地址-任意端口
灰鸽子-1026
阻止
UDP
1027
我的IP地址-1027
任何IP地址-任意端口
灰鸽子-1027
阻止
UDP
1028
我的IP地址-1028
任何IP地址-任意端口
灰鸽子-1028
阻止
TCP
21
我的IP地址-从任意端口
任何IP地址-到21端口
阻止tftp出站
阻止
TCP
99
我的IP地址-99
任何IP地址-任意端口
阻止99shell
阻止
以上是IP安全策略里的设置,可以根据实际情况,增加或删除端口。
服务器安全设置之_服务器安全和性能配置
把下面文本保存为:
windows2000-2003服务器安全和性能注册表自动配置文件.reg运行即可。
功能:
可抵御DDOS攻击2-3万包,提高服务器TCP-IP整体安全性能(效果等于软件防火墙,节约了系统资源)
服务器安全设置之_组件安全设置篇 (非常重要!
)
日期:
2006-7-6 点击:
141 作者:
本站收集 来源:
互联网 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】
A、卸载WScript.Shell和Shell.application组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)
windows2000.bat
windows2003.bat
B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改
【开始→运行→regedit→回车】打开注册表编辑器
然后【编辑→查找→填写Shell.application→查找下一个】
用这个方法能找到两个注册表项:
{13709620-C279-11CE-A49E-444553540000}和Shell.application。
第一步:
为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg文件。
第二步:
比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000改名为13709620-C279-11CE-A49E-444553540001
Shell.application改名为Shell.application_nohack
第三步:
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。
这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,
改好的例子
建议自己改
应该可一次成功
评论:
WScript.Shell和Shell.application组件是脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。
注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
下面是另外一种设置,大同小异。
一、禁止使用FileSystemObject组件
FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名为其它的名字,如:
改为FileSystemObject_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
2000注销此组件命令:
RegSrv32/uC:
\WINNT\SYSTEM\scrrun.dll
2003注销此组件命令:
RegSrv32/uC:
\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest用户使用scrrun.dll来防止调用此组件?
使用这个命令:
caclsC:
\WINNT\system32\scrrun.dll/e/dguests
二、禁止使用WScript.Shell组件
WScript.Shell可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:
改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
三、禁止使用Shell.Application组件
Shell.Application可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:
改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调